我在 Azure 上有一个 Windows Server 2012 R2 实例。对于一个新网站,我已向 GlobalSign 订购了证书。从他们那里获得证书后,我在 IIS 中完成了证书请求并安装了根证书。
我将网站移到了一个新的实例,因此我已导出带有其私钥的证书并将其导入到新实例上。
这就是我的安装,它似乎运行得很好。
现在我收到很多 SChannel 错误。它们是:
A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 40. The Windows SChannel error state is 1205.
A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 20. The Windows SChannel error state is 960.
An SSL 3.0 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.
这是我第一次使用 SSL,说实话,我不知道自己在做什么。对我来说,当我请求网站时,它看起来很好(http://laola.biz)。
我已经使用过 GlobalSign 的 SSL 检查,其评级为 C 级。https://sslcheck.globalsign.com/en_US/sslcheck?host=laola.biz#191.233.85.240-cert-ssl
以下是来自 mmc 的证书列表(我的网站是laola.biz):
中间的
根
个人的
知道我在这里可能做错了什么吗?
答案1
当不同的人(善意的或无意的)尝试从运行不同操作系统的不同浏览器的不同设备访问您的网站时,根据他们选择保护通信的协议,您最终会看到来自 schannel 源的消息。
以下博客应该可以帮助您理解日志中看到的一些消息。http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx
你得到的分数有点令人担忧。如果你直接将网站发布到 Azure 网站,则不会启用 SSL3。
您可以按照此处的指南禁用 SSL3 http://blogs.msdn.com/b/kaushal/archive/2014/10/22/poodle-vulnerability-padding-oracle-on-downgraded-legacy-encryption.aspx
如果您可以将网站从 VM 移至 Azure Website 本身,那就更好了。这样您就不必修补和保护用于托管网站的 VM。相反,您可以依靠 Azure PaaS 提供托管网站的平台。您只需负责网站代码,而 Azure 则负责保护和维护 IIS/平台。
从 TLS 角度来看,平台即将发生的变化体现在https://testsslclient.trafficmanager.net/。您可以对此进行测试,以查看如果将网站直接迁移到 Azure 网站,您的网站可以获得的评级。